Hola, soy tu dato

No está de más recordar que la protección de datos de carácter personal es un derecho constitucional, que se considera incardinado dentro del artículo 18 de la Constitución Española.
 
Por Sentencia del Tribunal Constitucional nº 292/2000 de 30 de noviembre se declaró que el Derecho a la protección de datos era un derecho independiente y con autonomía propia, que no se reducía sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea íntimo o no. Se dice en esta sentencia que:

“ El contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales, que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso”.
 
Para que quedéis debidamente ilustrados, aquí os dejo unos dibujos animados de la Agencia Española de Protección de Datos:

EVALUA LOPD

Aunque reconozco que soy un tanto crítica con el legislador y con la Administración en general, porque en materia de LOPD (y de muchas otras), en lugar de facilitar las cosas al empresario o profesional, se las dificultan…, también hay decir que la Agencia Española de Protección de Datos, a veces trata de echar una mano. Que lo consiga o no ya es otro tema.
Aquí os presento (para quienes no la conozcáis) la herramienta EVALUA:
Y así la presente la propia AEPD:
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD-, establece un conjunto de principios, derechos y deberes que requieren adaptar las organizaciones para su cumplimiento. Empresas, asociaciones, autónomos, o administraciones, tratan datos personales para su gestión ordinaria y ello les obliga a plantearse muchas preguntas:
  • ¿Qué son datos personales?
  • ¿Qué es un fichero?
  • ¿Qué es un tratamiento?
  • En caso de tratar datos, ¿hay algún dato exento de la LOPD?
  • ¿Cuáles son mis obligaciones?
Esta herramienta ofrece respuesta a éstos y a muchos otros interrogantes mediante un procedimiento de diagnóstico basado en un autotest basado en preguntas con respuesta múltiple. Basta con realizar el mismo para que al final, la Agencia Española de Protección de Datos, le facilite un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD. 
 Buena suerte.

ISO 27001: Incidentes seguridad

Entre otras muchas cuestiones, la norma ISO 27001 se preocupa por la regulación de los incidentes de seguridad que puedan afectar a la información (perdida de datos, destrucción de equipos informáticos, documentación, etc…). Estos incidentes deberán ser registrados y comunicados al responsable de la organización, y para ello se establecerá un procedimiento concreto.
Se trata, además, de una obligación legal que viene ya impuesta por la Ley 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y por el Real Decreto 1720/2007, por el que se aprueba el Reglamento que la desarrolla.
Así, en el artículo 90 del citado Reglamento, ya se dispone que “deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”.
La norma ISO 27001, establece una serie de posibles controles a aplicar para gestionar los incidentes que afecten a cualquier tipo de información dentro de la FGUMA, con el objetivo final de asegurar que los eventos y debilidades de seguridad de la información sean comunicados de una manera tal que permita que la acción correctiva sea tomada oportunamente. Los controles pueden consistir en:
  1. Reporte de los eventos de seguridad: Se ha de dejar constancia y  comunicar los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.
  1. Reporte de debilidades: Se pedirá a empleados, contratistas y usuarios que detecten e informen sobre cualquier debilidad en la seguridad de los sistemas o servicios que se haya observado o sospechado.
  1. Responsabilidad y procedimientos: La organización fijará quiénes son los responsables de la gestión de incidentes y los procedimientos a seguir, a fin de asegurar una respuesta rápida, eficaz y ordenada.
  1. Aprendizaje de los incidentes: Se establecerán mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad.
  1. Recolección de evidencias: Si a consecuencia de un proceso judicial se hiciera un seguimiento contra una persona u organización por incidentes de seguridad, se recolectarán, conservarán y presentarán las pruebas conforme a la legislación aplicable en cada caso.